Patch Day November 2004 - Lücke im ISA-Server

Exploit-Szenario

Ein mögliches Exploit-Szenario sieht so aus, dass ein Angreifer seinem Opfer per HTML-E-Mail, Messenger oder über eine Webseite eine URL mit einer IP-Adresse zukommen lässt und ihn dazu bewegt, auf den Link zu klicken. Beim Reverse-DNS-Lookup liefert der Angreifer dann den falschen Namen zurück, der im Cache gespeichert wird. Jeder Nutzer des ISA-Server, der nun die gespoofte Seite besuchen will, landet auf der IP-Adresse des Angreifers. Hat dieser seine Seite entsprechend präpariert, kann er nun versuchen, dem Opfer Informationen wie Login, Pins oder Tans zu entlocken.

Als möglichen Workaround empfiehlt Microsoft das Abschalten des DNS-Cache. Dieser sollte jedoch nur auf Systemen angewendet werden, die man nicht patchen will oder kann, da sich die Lösung negativ auf die Performance auswirkt.

Betroffene Software und Links zu den verfügbaren Patches:

Microsoft Proxy Server 2.0 mit Service Pack 1

Microsoft Internet Security and Acceleration Server 2000 mit Service Pack 1 und 2

Microsoft Small Business Server 2000

Microsoft Small Business Server 2003 Premium Edition

Nicht betroffen ist der Microsoft Internet Security and Acceleration Server 2004.

Immer noch offen sind dagegen teilweise schwer wiegende Lücken im Internet Explorer (Drag & Drop/HTML Help Control und der IFRAME-Pufferüberlauf) und im Service Pack 2 von Windows XP. Besonders die Drag-and-Drop-Lücke des IFRAME-Pufferüberlaufs wird derzeit von diverser Malware ausgenutzt.

Das tecCHANNEL-Praxis "Sicher ins Internet, Mail, Fax & VPN" zeigt Ihnen, wie Sie einen Kommunikations- und Security-Server einrichten und konfigurieren. Das Praxis-Heft können Sie online zum Vorzugspreis von 12,99 Euro bestellen. (mha)